Microsoft a décidé de faire un pas fort contre l'une des parties les plus anciennes - et les plus problématiques - de l'authentification Windows: le protocole NTLM ne sera plus automatiquement activé dans les prochaines versions principales du système d'exploitation. Après trois décennies étant l'alternative par défaut dans les environnements hérités, la société soutient que garder NTLM activé par défaut expose les organisations à des vecteurs d'attaque qui ne sont plus acceptables en 2026 et suivants.
NTLM (New Technology LAN Manager) est né avec Windows NT dans les années 1990 comme une méthode de défi - réponse à authentifier les utilisateurs et l'équipement. Il a finalement été remplacé par Kerberos dans des domaines modernes, mais est resté présent comme mécanisme de sauvegarde. Cette présence persistante est dangereuse parce que le NTLM utilise des schémas cryptographiques obsolètes et a été exploité à plusieurs reprises par les agresseurs pour étendre les privilèges et se déplacer latéralement au sein des réseaux d'entreprises.
L'histoire de l'abus est longue: des techniques classiques de relais NTLM aux fermes spécifiques qui permettent de forcer les équipes engagées à authentifier contre les serveurs contrôlés par l'attaquant. Les vulnérabilités et les outils tels que PetitPotam, qui ont abusé des services à distance pour faciliter les relais, ou RemotePotato0, qui ont permis de supplanter le compte LocalSystem, illustrent pourquoi les experts recommandent d'éliminer ou d'atténuer le NTLM depuis des années. Microsoft et la communauté de la sécurité ont largement documenté ces risques; par exemple, la description et le suivi de PetitPotam apparaissent dans le registre de vulnérabilité de Microsoft CVE-2021-36942, et la technique RemotePotato0 a été analysée par les équipes de réponse et d'analyse publique Rapide7.
Au-delà des relais, les attaques de type passe-hash restent un problème pratique : les adversaires extraient les haches d'authentification des machines compromises et les réutilisent pour s'authentifier en tant qu'utilisateurs légitimes. Microsoft propose des guides pour atténuer ces menaces, mais la solution la plus solide est d'empêcher que NTLM ne soit utilisé comme un recul en premier lieu; en ce sens, recommandations officielles demeure une référence pour les gestionnaires.
Le changement annoncé ne vise pas à effacer NTLM du système du jour au lendemain. Selon Microsoft, l'intention est de fournir Windows dans un état "par défaut sécurisé" où l'authentification du réseau NTLM est bloquée et non utilisée automatiquement, tandis que le système préférera les alternatives modernes basées sur Kerberos et les mécanismes d'authentification résistant au phishing. Vous pouvez lire les détails officiels du plan dans la sortie de l'équipe Windows sur le blog Microsoft Tech Community Voilà..
Pour minimiser l'impact opérationnel, Microsoft propose une transition en trois phases. Dans un premier temps, des outils d'audit améliorés (déjà présents dans Windows 11 24H2 et dans l'aperçu Windows Server 2025) seront mis à la disposition des gestionnaires pour localiser où NTLM est encore utilisé dans leurs environnements. Cette visibilité est essentielle : de nombreuses défaillances et patchs par unité de services hérités surviennent précisément parce qu'ils ne savent pas quelles applications ou quels appareils délèguent à NTLM.
La deuxième phase, prévue pour la seconde moitié de 2026, introduit des capacités conçues pour couvrir des scénarios légitimes qui ont historiquement conduit à la chute à l'utilisation de NTLM, comme IAKerb (Authentification intégrée pour Kerberos) et un Centre de distribution de clés locales qui facilite les opérations locales sans recourir à l'ancien protocole. Enfin, dans une troisième étape, l'authentification réseau NTLM sera désactivée par défaut dans les versions futures; le protocole restera présent dans le système pour la compatibilité et pourra être réactivé par des politiques explicites si une organisation en a besoin temporairement.
Cet itinéraire a déjà été annoncé par Microsoft il y a des mois et s'inscrit dans une stratégie plus large qui cherche à progresser vers des modèles d'authentification sans mot de passe et résistant au phishing. L'entreprise a commencé à mettre en garde contre la nécessité de cesser d'utiliser NTLM il y a des années et, depuis 2010, invite les développeurs et les administrateurs à migrer vers Kerberos ou vers des mécanismes de négociation plus sûrs. La documentation technique sur NTLM et sa déprécation est disponible dans la documentation officielle de Microsoft Voilà., et la voie de déprécation a été officialisée publiquement en 2024.
Pour les équipes informatiques, la recommandation pratique est claire: commencer dès que possible par l'inventaire et les essais. Activer l'audit NTLM pour découvrir les dépendances, évaluer les applications et les appareils tiers (imprimeurs, équipements anciens, anciennes intégrations) et planifier l'atténuation ou le remplacement. Lorsque NTLM ne peut pas être supprimé immédiatement, Microsoft et d'autres fournisseurs recommandent des paramètres et des protections spécifiques - par exemple, l'utilisation de certificats et de services Active Directory Certificate Services (AD CS) pour réduire l'efficacité des relais - et appliquer tous les guides officiels de durcissement.
La transition ne sera pas exempte de friction: de nombreuses organisations dépendent de solutions légalisées qui n'ont pas été mises à jour depuis des années, et dans les environnements industriels ou de contrôle il y a des dispositifs qui ne supportent que les anciens systèmes. C'est pourquoi la possibilité de réactiver le NTLM par le biais de politiques administratives offre un matelas temporaire, mais il ne doit pas être compris comme une excuse pour retarder la modernisation. Enfin, le renforcement de l'authentification n'est qu'un élément : le combiner avec la segmentation du réseau, la surveillance et la détection précoce augmentent considérablement la résilience aux intrusions.
En bref, l'annonce Microsoft est un appel de réveil pour tous les responsables de la sécurité: l'avenir immédiat de Windows priorisera Kerberos et les méthodes sans mot de passe, et NTLM sera bloqué par défaut à moins que le besoin explicite soit fait. Ceux qui gèrent l'infrastructure devraient tirer parti des outils d'audit déjà disponibles, planifier la migration des services et revoir l'intégration avec les fournisseurs, car la fenêtre d'adaptation invite à agir dès maintenant et évite les surprises lorsque la nouvelle politique est largement mise en œuvre.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...